세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
도움말 파일을 통해 부활한 크립토월
  |  입력 : 2015-03-11 13:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
멀웨어를 .chm파일에 삽입하여 전송


[보안뉴스 주소형] 새로운 유형의 스팸이 수백 개의 메일함을 강타했다. 바로 악명 높은 멀웨어, 크립토월(CryptoWall)이다. 받은 메일 가운데 첨부된 .chm파일을 열면 크립토월이 실행된다고 비트디펜더(Bitdefender)의 멀웨어 연구팀이 밝혔다.


이메일 스팸은 전혀 새롭거나 창의적인 발상에서 나온 건 아니지만, 멀웨어를 퍼트리기에 가장 용이한 방법이기는 하다. 멀웨어가 삽입된 .chm파일의 경우 도움말 기능으로 피해자의 컴퓨터에서 자동으로 악성 멀웨어를 실행시키고 컨텐츠를 암호화시킨다. 


확장자가 .chm인 파일은 한 마디로 압축된 HTML이다. 대부분의 소프트웨어 애플리케이션에서 F1을 누르면 팝업처럼 실행되는 도움말 코너를 떠올리면 된다. 이 포맷은 HTML 문서, 이미지, 자바 스크립트로 구성되어 있으며 하이퍼링크 된 목차, 인덱스, 텍스트 검색 기능이 구현된다.

 


도움말 파일이 위험한 이유 

.chm 파일의 특징이라고 한다면 기존 문서와는 달리 사용자의 인터랙션이 가능하다는 점을 첫 손에 꼽을 수 있다. 또한 자바스크립트와 같은 여러 기술을 접목시키는 것도 가능하다. 이런 기술을 활용하면 예를 들어 사용자를 외부 URL로 우회시킬 수도 있게 된다. 해커들이 .chm을 주목하게 된건 바로 이런 '기능구현의 가능성' 때문인 듯 하다. 여러 가지 악성 기능을 심을 수 있다는 소리가 되니까.

 

하지만 다른 한편 사용자 인터랙션이 빈번하게 요구된다는 건 해커들에게 반갑지 않은 요소다. 사용자가 개입하는 빈도수만큼 해킹 행위나 멀웨어가 발견될 가능성이 높아지기 때문이다. 그래서 해커들은 사용자가 파일을 열면 자동으로 악성 페이로드가 실행되도록 만들었다. 사용자 인터랙션을 낮춰 감염 확률을 높인 것이다.

 

그래서 사용자가 .chm 파일을 실행하면 http://*********/putty.exe,에 있는 악성코드가 다운로드되고  %temp%atmasla2.exe라는 이름으로 저장되면서 멀웨어가 작동된다. 그 과정 중의 명령어는 윈도우에 보여진다.



크립토월은 지난해 정보보안 업계를 떠들썩 하게 했던 크립토락커(CrytoLocker)보다 더 고약하게 발전한 버전의 랜섬웨어로, 마치 도움말 파일과 같이 안전한 실행파일인 것처럼 위장한 채 뒤에서 중요한 파일들을 암호화시켜서, 그것을 풀어주는 대가로 돈을 요구하는 원리를 가지고 있다.

랜섬웨어는 멀웨어 가운데 대응하기 까다로운 편에 속하는 버그다. 특히 내부기밀이나 중요한 정보가 담겨져 있는 파일을 보호해야 하는 보안업체나 담당자들에게는 특히나 치명적으로 작용한다.


지난 2월 18일, 수백 쌍의 커플에게 이메일 폭탄이 발송됐다. 해당 스팸 서버는 베트남, 인도, 호주, 미국, 루마니아, 스페인 등에서 발견됐다. 받는 이의 도메인을 분석해보니 전송 지역도 다양했다. 피해 지역은 미국, 유럽, 호주 등을 포함한 전 세게 이용자들에게 발송한 것으로 파악됐다.


해당 멀웨어는 Trojan.GenericKD.2170937로 비츠디펜더가 발견했다.


크립토월 감염을 막는 법

비츠디펜더 연구원들이 크립토월 감염을 막을 수 있는 방법을 강구했다. 데이터를 외장 드라이브에 옮겨놓는 것도 하나의 방법이지만 여기서 좀 더 방어력을 강화하기 위해서 비츠디펜더가 개발한 것이 크립토월 이뮤나이져(CryptoWall Immunizer)다. 이는 사고를 미연에 방지하는 기능을 갖추고 있다. 이에 따라 비츠디펜더는 사용자들에게 안티바이러스 솔루션과 크립토월 이뮤나이져를 혼합해 사용하기를 적극 권장했다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)